1. Gidų asmens duomenų tvarkymo Valstybiniame turizmo departamente prie Ūkio ministerijos (toliau – Departamentas) taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmenų, turinčių gido pažymėjimą, Europos Sąjungos valstybių narių piliečių, Europos ekonominės erdvės valstybių piliečių ir Šveicarijos Konfederacijos piliečių (toliau – ES piliečiai) ir trečiųjų šalių piliečių, kurių gido profesinė kvalifikacija pripažinta tinkama norint dirbti pagal gido profesiją Lietuvos Respublikoje bei ES piliečių, kuriems suteikta teisė laikinai ir kartais teikti gido paslaugas Lietuvos Respublikoje, asmens duomenų (toliau – gidų asmens duomenys) tvarkymą Departamente, nustatyti pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo ir duomenų apsaugos technines bei organizacines priemones, siekiant užtikrinti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

2. Taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – ADTAĮ).

3. Taisyklės parengtos vadovaujantis ADTAĮ ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą.

4. Tvarkant gidų asmens duomenis vadovaujamasi šiais teisės aktais:

5. Departamentas yra informacinės sistemos – Departamento interneto svetainės WWW.TOURISM.LT bei joje esančių gidų asmens duomenų valdytojas ir tvarkytojas, juridinio asmens kodas 188708758, buveinės adresas Gedimino pr. 38, 01104 Vilnius, kuris:

6. Taisyklių privalo laikytis visi Departamente dirbantys valstybės tarnautojai ir pagal darbo sutartis dirbantys darbuotojai (toliau – darbuotojai), kurie tvarko Departamente esančius gidų asmens duomenis arba eidami savo pareigas juos sužino.

7. Asmenų, turinčių gido pažymėjimą, asmens duomenys tvarkomi šiais tikslais:

8. Taisyklių 7.1 - 7.2 punktuose nurodytais tikslais Departamentas automatiniu būdu ir bylose tvarko šiuos tiesiogiai iš duomenų subjekto gautus asmens duomenis: asmens kodą, vardą, pavardę, nuotrauką, kontaktinius duomenis (gyvenamosios vietos adresas, savivaldybė, telefono numeris, elektroninio pašto adresas), išsilavinimo duomenis (aukštojo mokslo studijų sritis, studijų kryptis, aukštojo mokslo diplomą išdavusi įstaiga, diplomo išdavimo data, numeris), įstaigą, išdavusią gidų rengimo kursų baigimo pažymėjimą, pažymėjimo išdavimo datą, numerį/ įstaigą, išdavusią pažymą apie išlaikytus teorinį ir praktinį gidų rengimo kursų egzaminus, pažymos išdavimo datą, numerį, darbo gidu trukmę, ūkio subjektą, kuriame asmuo dirbo gidu, kalbas, kuriomis vedamos ekskursijos, vedamų ekskursijų maršrutų skaičių ir jų pavadinimus, duomenis apie valstybės rinkliavos sumokėjimą, gido pažymėjimo išdavimo datą, numerį, suteiktą gido kategoriją.

9. Vadovaujantis Lietuvos Respublikos turizmo įstatymo 9 straipsnio 8 dalimi ir siekiant Taisyklių 7.2 punkte nurodyto tikslo Departamento interneto svetainėje www.tourism.lt. privalomai viešai skelbiami šie asmenų, turinčių gido pažymėjimą, duomenys:

10. ES piliečių ir trečiųjų šalių piliečių, kurių gido profesinė kvalifikacija pripažinta tinkama norint dirbti pagal gido profesiją Lietuvos Respublikoje, asmens duomenys tvarkomi šiais tikslais:

11. Taisyklių 10.1 - 10.2 punktuose nurodytais tikslais Departamentas automatiniu būdu ir bylose tvarko šiuos iš duomenų subjekto gautus asmens duomenis: asmens tapatybę patvirtinančio dokumento išdavimo datą, numerį, jį išdavusią įstaigą, asmens vardą, pavardę, asmens kodą (jei jis nurodytas asmens tapatybę patvirtinančiame dokumente), nuotrauką, lytį, pilietybę, gimimo datą, gimimo vietą, kontaktinius duomenis (gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresas), išsilavinimo duomenis (studijų sritis, diplomą išdavusi įstaiga, diplomo išdavimo data, numeris), gido profesinę kvalifikaciją patvirtinančius duomenis (gido profesinę kvalifikaciją patvirtinusi įstaiga, jos išduoto dokumento data, numeris), duomenis apie gido darbo patirtį (darbo gidu trukmė, ūkio subjektas, kuriame asmuo dirbo gidu), kalbas, kuriomis vedamos ekskursijos, vedamų ekskursijų maršrutų skaičių ir jų pavadinimus, duomenis apie valstybės rinkliavos sumokėjimą, gido pažymėjimo išdavimo datą, numerį, suteiktą gido kategoriją.

12. Vadovaujantis Lietuvos Respublikos turizmo įstatymo 9 straipsnio 8 dalimi ir siekiant Taisyklių 10.2. punkte nurodyto tikslo Departamento interneto svetainėje www.tourism.lt. viešai skelbiami šie asmenų, kuriems pripažinta gido profesinė kvalifikacija norint dirbti pagal gido profesiją ir turinčių gido pažymėjimą, duomenys:

13. ES piliečių, kuriems suteikta teisė laikinai ir kartais teikti gido paslaugas Lietuvos Respublikoje, asmens duomenys tvarkomi šiais tikslais:

14. Taisyklių 13 punkte nurodytais tikslais Departamentas automatiniu būdu ir bylose tvarko šiuos iš duomenų subjekto – ES piliečio – gautus asmens duomenis: asmens tapatybę patvirtinančio dokumento išdavimo datą, numerį, jį išdavusią įstaigą, asmens vardą, pavardę, asmens kodą (jei jis nurodytas asmens tapatybę patvirtinančiame dokumente), lytį, pilietybę, gimimo datą, gimimo vietą, nuotrauką, kontaktinius duomenis (gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresas), išsilavinimo duomenis (studijų sritis, diplomą išdavusi įstaiga, diplomo išdavimo data, numeris), gido profesinę kvalifikaciją patvirtinančius duomenis (gido profesinę kvalifikaciją patvirtinusi įstaiga, jos išduoto dokumento data, numeris), duomenis apie gido darbo patirtį (darbo gidu trukmė, ūkio subjektas, kuriame asmuo dirbo gidu), įsisteigimo šalį, kalbas, kuriomis vedamos ekskursijos, gido paslaugų Lietuvos Respublikoje teikimo laikotarpį.

15. Taisyklių 13.2 punkte nurodytu tikslu Departamentas interneto svetainėje www.tourism.lt. privalomai viešai skelbia ES piliečių, kuriems suteikta teisė laikinai ir kartais teikti gido paslaugas Lietuvos Respublikoje vardą, pavardę, įsisteigimo šalį ir paslaugų teikimo laikotarpį.

16. Departamento darbuotojai, atlikdami savo pareigas ir tvarkydami gidų asmens duomenis, privalo užtikrinti, kad gidų asmens duomenys būtų:

17. Gidų asmens duomenys Departamente renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto, oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių bei teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų bei informacinių sistemų.

18. Asmens duomenys renkami pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju). Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis.

19. Departamentas užtikrina Taisyklių 9, 12 ir 15 punktuose nurodytų viešai skelbiamų asmens duomenų tikslumą.

Nustačius, kad tvarkomi duomenys yra neteisingi, neišsamūs ar netikslūs, atsakingas Departamento darbuotojas nedelsdamas ištaiso neteisingus, neišsamius, netikslius asmens duomenis.

20. Gidų asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Konkretūs bylose saugomų  asmens duomenų saugojimo terminai nustatyti Departamento direktoriaus patvirtintame Dokumentacijos plane.

21. Automatiniu būdu tvarkomi gidų asmens duomenys saugomi šiais terminais:

22. Pasibaigus asmens duomenų saugojimo terminams arba kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti Lietuvos valstybės naujajam archyvui.

23. Teisės aktų nustatytais atvejais ir tvarka Departamentas gali teikti jo tvarkomus gidų asmens duomenis tretiesiems asmenims. Asmens duomenys teikiami tretiesiems asmenims tik esant bent vienam ADTAĮ 5 straipsnyje nustatytam asmens duomenų teisėto tvarkymo kriterijui ir tik pagal prašymą ar sutartį, atitinkančius ADTAĮ 6 straipsnio reikalavimus.

24. Gidų asmens duomenys saugomi bylose bei Departamento interneto svetainėje www.tourism.lt.

25. Gidų asmens duomenis gali tvarkyti tik Departamento darbuotojai, kurių pareigybių aprašymuose yra nurodyta ši funkcija, arba Departamento direktoriaus įgalioti Departamento darbuotojai.

26. Gidų asmens duomenų tvarkymo funkcijas vykdantys ir su Departamento tvarkomais asmens duomenimis (išskyrus viešai skelbiamus) galintys susipažinti Departamento darbuotojai pasirašytinai supažindinami su šiomis Taisyklėmis.

27. Departamento darbuotojas, tvarkantis gidų asmens duomenis, turi pasirašyti pasižadėjimą (pridedama), kuris saugomas darbuotojo asmens byloje.

28. Prieiga prie gidų asmens duomenų gali būti suteikta tik tam Departamento darbuotojui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti. Prieigos teisės prie gidų asmens duomenų Departamento darbuotojams suteikiamos, keičiamos ir naikinamos vadovaujantis Informacinių sistemų naudotojų administravimo taisyklėmis, patvirtintomis Ūkio ministro 2016 m. vasario 1 d. potvarkiu Nr.6-4.

29. Su gidų asmens duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti Departamento darbuotojui yra suteiktos teisės.

30. Departamento darbuotojas netenka teisės tvarkyti gidų asmens duomenų, kai pasibaigia jo valstybės tarnybos ar darbo santykiai su Departamentu, arba, kai jam pavedama vykdyti su gidų asmens duomenų tvarkymu nesusijusias funkcijas.

31. Pasikeitus viešai skelbiamiems asmens duomenims, duomenų subjektai ne vėliau kaip per 10 darbo dienų privalo raštu informuoti Departamentą apie jų pasikeitimą. Departamentas atnaujina patikslintus duomenis informacinėje sistemoje ne vėliau kaip per 5 darbo dienas.

32. Duomenų subjektų pateikti dokumentai bei jų kopijos, bylos, kuriose yra gidų asmens duomenų, saugomos rakinamose spintose, seifuose arba patalpose. Dokumentai, kuriuose yra gidų asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje, kur neturintys teisės asmenys nekliudomai galėtų su jais susipažinti.

33. Archyviniam saugojimui perduotos Departamento bylos iki perdavimo Lietuvos valstybės naujajam archyvui saugomos Departamento rakinamoje dokumentų saugykloje. Šie duomenys tretiesiems asmenims susipažinti teikiami tik tais atvejais, kai tą leidžia įstatymai ir kiti teisės aktai, ar tik Departamento direktoriaus ar jo įgalioto asmens sprendimu.

34. Naikinant dokumentus, kurių saugojimo terminas yra pasibaigęs, Departamento dokumentai, kuriuose nurodomi gidų asmens duomenys, bei jų kopijos turi būti sunaikinti taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.

35. Departamento interneto svetainėje turi būti maksimaliai apribotos galimybės viešai veikiančioms interneto paieškos sistemoms bei paieškos variklių robotams kopijuoti Departamento svetainėje esančią informaciją ir šioms sistemoms ar robotams surasti ankščiau skelbtos, bet iš Departamento interneto svetainės jau pašalintos, informacijos kopijų. Kompiuterinė įranga turi būti apsaugota nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).

36. Departamento darbuotojas, tvarkantis duomenų subjektų asmens duomenis, privalo:

37. Šios Taisyklės ir kita informacija duomenų subjektams apie gidų asmens duomenų tvarkymą skelbiama Departamento interneto svetainėje www.tourism.lt.

38. Departamentas informaciją duomenų subjektui apie jo asmens duomenų tvarkymą pateikia neatlygintinai, tokiu būdu, kokiu subjektas ar jo atstovas kreipiasi, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi arba kai įstatymai ir kiti teisės aktai apibrėžia tokių duomenų rinkimo ir teikimo tvarką bei duomenų gavėjus.

39. Duomenų subjektai, siekdami įgyvendinti ADTAĮ numatytas teises, Departamentui turi pateikti rašytinį prašymą asmeniškai, registruotu paštu ar elektroninių ryšių priemonėmis. Prašymas turi būti pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, gyvenamoji vieta, kontaktinė informacija, informacija apie tai, kokią teisę ir kokios apimties duomenų subjektas pageidauja įgyvendinti.

40. Duomenų subjektas, pateikdamas prašymą, privalo patvirtinti savo tapatybę:

41. Gavęs duomenų subjekto prašymą gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 1 metus, Departamentas ADTAĮ 25 straipsnyje nustatyta tvarka privalo atsakyti, ar su duomenų subjektu susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomą informaciją.

42. Gavęs duomenų subjekto kreipimąsi dėl neteisingų, neišsamių ar netikslių jo tvarkomų asmens duomenų, Departamentas nedelsdamas patikrina tvarkomus asmens duomenis ir duomenų subjekto rašytiniu prašymu pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsdamas ištaiso neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

43. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas privalo neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdamas sunaikinti neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

44. Duomenų subjekto prašymu sustabdžius jo asmens duomenų tvarkymo veiksmus, asmens duomenys, kurių tvarkymo veiksmai sustabdyti, turi būti saugomi tol, kol bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kiti tvarkymo veiksmai su tokiais asmens duomenimis gali būti atliekami tik:

45. Departamentas privalo nedelsdamas pranešti duomenų subjektui apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą.

46. Duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys. Departamentas, gavęs duomenų subjekto rašytinį pranešimą apie nesutikimą dėl asmens duomenų tvarkymo, privalo įvertinti, ar duomenų subjekto nesutikimas yra teisiškai pagrįstas. Jei toks nesutikimas yra teisiškai pagrįstas, Departamentas nedelsdamas neatlygintinai nutraukia asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoja apie tai duomenų gavėjus.

47. Duomenų subjektas turi teisę ADTAĮ numatytas duomenų subjekto teises įgyvendinti pats arba per įgaliotą atstovą. Jeigu atstovaujamo duomenų subjekto vardu į Departamentą kreipiasi duomenų subjekto atstovas, jis savo prašyme turi nurodyti savo vardą, pavardę, gyvenamąją vietą, kontaktinius duomenis, atstovaujamo asmens vardą, pavardę, gyvenamąją vietą, informaciją apie tai, kokią duomenų subjekto teisę ir kokios apimties pageidaujama įgyvendinti, ir pridėti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro ar kita teisės aktų nustatyta tvarka. Atstovo pateiktas prašymas turi atitikti Taisyklių 39 ir 40 punktų reikalavimus.

48. Departamentas duomenų subjekto prašymo, kuris pateiktas nesilaikant Taisyklių 39 ir 40 punktuose numatytų reikalavimų, nenagrinėja. Apie atsisakymo nagrinėti prašymą motyvus Departamentas informuoja prašymą pateikusį asmenį.

49. Duomenų subjekto prašymą įgyvendinti jo, kaip duomenų subjekto, teises Departamentas išnagrinėja ir atsakymą pateikia ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Atsakymas duomenų subjektui pateikiamas valstybine kalba duomenų subjekto pasirinktu būdu: paštu, asmeniškai ar elektroninių ryšių priemonėmis.

50. Departamento atsisakymas vykdyti duomenų subjekto prašymą turi būti motyvuotas ir atitikti Taisyklių 49 punkte nurodytus reikalavimus.

51. Duomenų subjektas gali skųsti Departamento veiksmus (neveikimą), susijusius su duomenų subjekto teisių įgyvendinimu, Valstybinei asmens duomenų apsaugos inspekcijai per 3 mėnesius nuo atsakymo gavimo dienos arba per 3 mėnesius nuo tos dienos, kada baigiasi Taisyklių 49 punkte nustatytas terminas pateikti atsakymą.

52. Departamentas įgyvendina tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo ir užtikrina automatiniu būdu tvarkomų asmens duomenų pirmąjį saugumo lygį.

53. Įvykus elektroninės informacijos (asmens duomenų) saugos incidentui, jis tiriamas vadovaujantis Informacinių sistemų veiklos tęstinumo valdymo planu, patvirtintu Ūkio ministro 2016 m. vasario 1 d. potvarkiu Nr.6-4.

54. Informacinėje sistemoje esančių gidų asmens duomenų kopijos daromos, atkuriamos ir saugomos Saugaus elektroninės informacijos tvarkymo taisyklių, patvirtintų Ūkio ministro 2016 m. vasario 1 d. potvarkiu Nr.6-4, nustatyta tvarka.

55. Gidų asmens duomenų tvarkymo keliamos rizikos vertinimas atliekamas nustatant grėsmių tikimybes bei riziką vieną kartą per metus. Už šio vertinimo organizavimą atsakingas informacinės sistemos – interneto svetainės www.tourism.lt - saugos įgaliotinis.

56. Už Taisyklių nuostatų pažeidimą Departamento darbuotojai, tvarkantys gidų asmens duomenis, atsako teisės aktų nustatyta tvarka.

57. Taisyklės ne rečiau kaip kartą per 2 metus peržiūrimos, ir esant reikalui, atnaujinamos.